Die folgenden Richtlinien für die Mindestsicherheitsplattform stimmen mit der Säule „Monitoring, Logging und Benachrichtigungen“ überein.
Richtlinien für die grundlegende Stufe
Implementieren Sie zuerst die folgenden Richtlinien für Monitoring, Logging und Benachrichtigungen.
| Element | Sicherheitsbulletins abonnieren |
|---|---|
| Beschreibung | Abonnieren Sie die Benachrichtigungen zu Sicherheitsbulletins für Google Cloud Dienste, um Benachrichtigungen zu Sicherheitslücken und Maßnahmen zur Risikominderung zu erhalten. Wenn Sicherheitsbulletins verfügbar sind, die für Ihren Google Cloud Dienst relevant sind (z. B. GKE), kann der Dienst Benachrichtigungen zu diesen Ereignissen als Nachrichten in von Ihnen konfigurierten Pub/Sub-Themen veröffentlichen. Sie können diese Benachrichtigungen für ein Pub/Sub-Abo empfangen, Dienste von Drittanbietern einbinden und nach den Benachrichtigungstypen filtern, die Sie erhalten möchten. |
| Weitere Informationen | |
| Artikel-ID | MVSP-CO-1.54 |
| Zuordnung |
Zugehörige NIST-800-53-Kontrollen:
Zugehörige CRI-Profilkontrollen:
|
| Element | Gruppen für „Wichtige Kontakte“ konfigurieren |
|---|---|
| Beschreibung | Konfigurieren Sie „Wichtige Kontakte“ so, dass wichtige Benachrichtigungen an einen überwachten Gruppenalias oder eine Mailingliste gesendet werden. Google sendet kritische Sicherheitsbenachrichtigungen (z. B. über eine mögliche Kontokompromittierung) an die E‑Mail-Adressen, die als „Wichtige Kontakte“ aufgeführt sind. Wenn die E‑Mail-Adresse einer einzelnen Person für diesen Zweck verwendet wird, wird die Benachrichtigung verpasst, wenn diese Person nicht verfügbar ist oder das Unternehmen verlassen hat.Wenn Sie eine überwachte Gruppen-E‑Mail-Adresse verwenden, wird sichergestellt, dass diese zeitkritischen Benachrichtigungen an ein aktives Team gesendet werden, das schnell reagieren kann. |
| Weitere Informationen | |
| Artikel-ID | MSVP-CO-1-55 |
| Zuordnung |
Zugehörige NIST-800-53-Kontrollen:
Zugehörige CRI-Profilkontrollen:
Compliance Manager-Kontrolle: |
| Element | Abrechnungsanomalien im Blick behalten |
|---|---|
| Beschreibung | Verwenden Sie die Funktion für Abrechnungsanomalien in Cloud Billing, um alle Spitzen oder Abweichungen bei den erwarteten Ausgaben zu verfolgen. Ein plötzlicher, unerwarteter Anstieg der Cloud-Rechnung ist ein primärer Indikator für eine Sicherheitskompromittierung. Unerwartete Abrechnungsspitzen werden manchmal durch Angreifer verursacht, die Zugriff erhalten haben und Ressourcen für nicht autorisierte Aktivitäten verwenden. Wenn Sie die Erkennung von Abrechnungsanomalien aktivieren, erhalten Sie ein wichtiges Frühwarnsystem, mit dem Sie diese verdächtige Aktivität automatisch kennzeichnen können. |
| Weitere Informationen | |
| Artikel-ID | MSVP-CO-1-56 |
| Zuordnung |
Zugehörige NIST-800-53-Kontrollen:
Zugehörige CRI-Profilkontrollen:
|
Richtlinien für die mittlere Stufe
Nachdem Sie die grundlegenden Richtlinien implementiert haben, implementieren Sie die folgenden Richtlinien für Monitoring, Logging und Benachrichtigungen.
| Element | Firewallregel-Logging aktivieren |
|---|---|
| Beschreibung | Standardmäßig werden von Firewallregeln keine Logs geschrieben.Mit dem Logging von Firewallregeln können Sie die Auswirkungen Ihrer Firewallregeln überwachen, überprüfen und analysieren. Beispielsweise lässt sich so feststellen, ob eine Firewallregel zum Ablehnen von Traffic wie vorgesehen funktioniert. Das Logging ist auch nützlich, wenn Sie ermitteln möchten, wie viele Verbindungen von einer bestimmten Firewallregel betroffen sind. Aktivieren Sie das Logging für jede Firewallregel. Sie können das Logging mit einer Pipeline konfigurieren, mit der Sie eine Firewall erstellen. |
| Weitere Informationen | |
| Artikel-ID | MSVP-CO-1-58 |
| Zuordnung |
Zugehörige NIST-800-53-Kontrollen:
Zugehörige CRI-Profilkontrollen:
Compliance Manager-Kontrolle: |
| Element | Audit-Logs aus Cloud Identity freigeben |
|---|---|
| Beschreibung | Wenn Sie Cloud Identity verwenden, geben Sie Audit-Logs aus Cloud Identity für frei Google Cloud. Audit-Logs zur Administratoraktivität von Google Workspace oder Cloud Identity werden normalerweise in der Google Admin-Konsole verwaltet und angezeigt, separat von Ihren Logs in Ihrer Google Cloud Umgebung. Diese Logs enthalten Informationen, die für Ihre Google Cloud Umgebung relevant sind, z. B. Nutzeranmeldeereignisse. Wir empfehlen, Cloud Identity-Audit-Logs für Ihre Google Cloud Umgebung freizugeben, um Logs aus allen Quellen zentral zu verwalten. |
| Weitere Informationen | |
| Artikel-ID | MSVP-CO-1-59 |
| Zuordnung |
Zugehörige NIST-800-53-Kontrollen:
Zugehörige CRI-Profilkontrollen:
Compliance Manager-Kontrolle: |
Richtlinien für die fortgeschrittene Stufe
Nachdem Sie die Richtlinien für die mittlere Stufe implementiert haben, implementieren Sie die folgenden Richtlinien für Monitoring, Logging und Benachrichtigungen.
| Element | Access Transparency-Logs aktivieren |
|---|---|
| Beschreibung | In Standardlogs sehen Sie, was die Nutzer Ihrer Organisation tun. In Access Transparency-Logs sehen Sie, was Google-Supportmitarbeiter tun, wenn sie auf das Konto zugreifen. Dieser Zugriff erfolgt in der Regel nur als Reaktion auf eine Supportanfrage. Access Transparency-Logs bieten einen vollständigen und überprüfbaren Audit-Trail aller Zugriffe, der für die Einhaltung strenger Compliance- und Data Governance-Anforderungen unerlässlich ist. Sie können Access Transparency auf Organisationsebene aktivieren. |
| Weitere Informationen | |
| Artikel-ID | MSVP-CO-1-57 |
| Zuordnung |
Zugehörige NIST-800-53-Kontrollen:
Zugehörige CRI-Profilkontrollen:
Compliance Manager-Kontrolle: |
| Element | Logs zur langfristigen Speicherung in eine Logsenke exportieren |
|---|---|
| Beschreibung | Erstellen Sie eine Logsenke, um Logs für Ihre Sicherheitsmonitoringlösung zu exportieren, und legen Sie den Aufbewahrungszeitraum entsprechend Ihren Anforderungen fest. Die Standardaufbewahrungszeiträume für Logs sind oft nicht lang genug, um die Anforderungen von 1 bis 7 Jahren zu erfüllen, die in Compliance-Vorschriften wie PCI oder HIPAA vorgeschrieben sind. Das Erstellen einer Logsenke zum Exportieren von Logs an einen langfristigen Speicherort ist unerlässlich, um bestimmte rechtliche und regulatorische Verpflichtungen zu erfüllen. Mit Logsenken können Sie Logs auch an ein zentrales Sicherheitsmonitoringsystem senden, um erweiterte Bedrohungen zu erkennen. |
| Weitere Informationen | |
| Artikel-ID | MSVP-CO-1-60 |
| Zuordnung |
Zugehörige NIST-800-53-Kontrollen:
Zugehörige CRI-Profilkontrollen:
Compliance Manager-Kontrolle: |